CryptoPHP - Analiza ukrytych zagrożeń w popularnych systemach CMS
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 18

Temat: CryptoPHP - Analiza ukrytych zagrożeń w popularnych systemach CMS

  1. #1
    Bywalec ugly kid joe awatar
    Dołączył
    09-11-2012
    Skąd
    C:\WINDOWS\Wirusy i Trojany
    Wpisy
    342
    Punkty
    18

    Domyślny CryptoPHP - Analiza ukrytych zagrożeń w popularnych systemach CMS

    Raport FOX-IT, dotyczący zagrożeń ukrytych we współdzielonych skryptach komercyjnych, które często, są częścią aktywnych botnetów.

    https://foxitsecurity.files.wordpres...-foxsrt-v4.pdf
    moje nowe alter ego

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2

  4. #3
    Troll
    Gość

    Domyślny

    Swoją drogą - no dobra - jeżeli w zaistniałej sytuacji kiedy atak jest automatyczny - wykonany przez roboty przekierujemy zapis plików typu obrazy na całkiem inny katalog niż images - pozostawiając naturalnie ten katalog ale tylko do odczytu i blokując w nim całkowicie możliwość zapisu to przy próbie wstrzyknięcia pliku - d blada jeżeli - bo plik ani nie może zostać zapisany w miejscu wywołania, ani wykonany - więc ni czorta nie można go odpalić.

  5. #4
    Wiarus mjmartino awatar
    Dołączył
    03-12-2007
    Skąd
    Będzin /k Katowic
    Wpisy
    2 753
    Punkty
    211

    Domyślny

    Pliki obrazowe nie masz tylko w images, a próby wstrzyknięcia np wykryje Ci RS!Firewall. chyba że sam coś zainstalujesz zainfekowanego.
    Nie bez przekory mówi się że zawsze zawodzi czynnik ludzki ;)
    ================================
    Administracja Joomla, Nowości, Artykuły Pomocne Administratorom, Usługi
    >>> https://joomlaguru.pl <<<
    Szkoła Joomla Guru (Kursy Online)
    >>> https://szkola.joomlaguru.pl <<<
    ================================

  6. #5
    Bywalec ugly kid joe awatar
    Dołączył
    09-11-2012
    Skąd
    C:\WINDOWS\Wirusy i Trojany
    Wpisy
    342
    Punkty
    18

    Domyślny

    Nie robiłbym ( przy okazji wody z mózgu nowym webadminom ) z żadnej dostępnej aplikacji - złotego środka. RSF ( ani też Adm, Tools), nie zatrzyma 70% skutecznych ataków. Aplikacje budowane są na podstawie znanych zagrożeń, ale nikt z ich architektów nie działa prewencyjnie. Widocznie uznano, że nie warto, a to co jest odpowiada społeczności.

    Co do wątku, należy przypomnieć o znanym już od lat zagrożeniu, jakim jest PHP Shell w szablonach. Od wakacji ataki na serwery przez shella wzmożyły się, wiele osób pewnie nie ma o tym pojęcia, bo przeciez nie odkryło ataku na witrynę. Powstałło też sporo, wysokiej klasy detektorów.
    moje nowe alter ego

  7. #6
    Wiarus mjmartino awatar
    Dołączył
    03-12-2007
    Skąd
    Będzin /k Katowic
    Wpisy
    2 753
    Punkty
    211

    Domyślny

    Cytat Wysłane przez ugly kid joe Zobacz wiadomość
    Nie robiłbym ( przy okazji wody z mózgu nowym webadminom ) z żadnej dostępnej aplikacji - złotego środka. RSF ( ani też Adm, Tools), nie zatrzyma 70% skutecznych ataków. Aplikacje budowane są na podstawie znanych zagrożeń, ale nikt z ich architektów nie działa prewencyjnie. Widocznie uznano, że nie warto, a to co jest odpowiada społeczności.
    Nie zatrzyma skutecznych ataków ? z Twojej wypowiedzi wynika że jedna konkluzja po co się bronić jak i tak nas ktoś z haczy...
    Na 0daysa rady nie ma .. ale na każde inne jest patch lub będzie..
    Nie wiem czy czytałeś ten dokument ale jak podajesz link to powinieneś!
    zacytuje Ci
    CryptoPHP is a threat that uses backdoored Joomla, WordPress and Drupal themes and plug-ins to compromise webservers on a large scale. By publishing pirated themes and plug-ins free for anyone to use instead of having
    to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included
    backdoor on their server.
    Wiec nie ma co siać jakieś paniki.. każdy kto ściąga wersje NULLED musi mieć świadomość takiego zagrożenia!
    ================================
    Administracja Joomla, Nowości, Artykuły Pomocne Administratorom, Usługi
    >>> https://joomlaguru.pl <<<
    Szkoła Joomla Guru (Kursy Online)
    >>> https://szkola.joomlaguru.pl <<<
    ================================

  8. #7
    Bywalec ugly kid joe awatar
    Dołączył
    09-11-2012
    Skąd
    C:\WINDOWS\Wirusy i Trojany
    Wpisy
    342
    Punkty
    18

    Domyślny

    1). To twoje słowa, ja nic takiego nie powiedziałem. Po raz kolejny, nie rób ludziom wody z mózgu.
    2). Proponuje wczytać się w pierwotną treść tego wątku.

    Bez odbioru.
    moje nowe alter ego

  9. #8
    Troll
    Gość

    Domyślny

    @mjmartino odniosłem się do konkretnego zagrożenia i konkretnej sytuacji - większość ataków jest dokonywana na bazie znajomości konkretnych mechanizmów i struktur danego CMS'a - tak więc stosowanie niestandardowych struktur jest bardzo efektywne. W tym konkretnym przypadku bot używa standardowej struktury do wstrzyknięcia złośliwego kodu i takiegoż wywołania więc dyslokacja blokuje taki typ mechanizmu. RSF nie daje 100% gwarancji że nic nie zostanie wstrzyknięte aczkolwiek w znacznym stopniu minimalizuje zagrożenie, zresztą jest to rozszerzenie płatne (warte swojej ceny) i nie wszystkich na nie stać. Co do źródeł pobierania - przejrzyj sobie powody wycofania niektórych rozszerzeń z JED - nie podzielałbym Twojego optymizmu, niestety nie można mieć pewności nigdy że kod jest czysty, tak samo jak że nie jest podatny na ataki pomimo że n.p. gro ludzi wie że trzeba specjalnie uważać na katalogi typu media i sposobu zapisu tego typu plików - traktować je jako szczególnie podatne na ataki to doświadczenie wykazuje że co jakiś czas większe kataklizmy zdarzają się właśnie z powodu błędów zabezpieczeń w edytorach (chociażby JCE czy JCK) i zasadniczo dotyczy to wszystkich CMS'ów - wystarczy popatrzeć na logi systemów zabezpieczeń.

  10. #9
    Wiarus mjmartino awatar
    Dołączył
    03-12-2007
    Skąd
    Będzin /k Katowic
    Wpisy
    2 753
    Punkty
    211

    Domyślny

    Cytat Wysłane przez ugly kid joe Zobacz wiadomość
    1). To twoje słowa, ja nic takiego nie powiedziałem. Po raz kolejny, nie rób ludziom wody z mózgu.
    2). Proponuje wczytać się w pierwotną treść tego wątku.
    Bez odbioru.
    ad1. Nie robię ludziom wody z mózgu.. a jeśli według Ciebie robię to wypadałoby przytoczyć jakieś argumenty.
    ad2. Pierwotną treść jest tyko dokumentem.. stwierdzającym fakt wyżej wspomniany prze zemnie.

    @Troll
    Nigdzie nie napisałem że RSF daje 100% skuteczność ale daje możliwość wykrycia ataku injection bo o tym jest mowa w tym dokumencie. Inna sprawa że na JED znajdują bądź znajdowały się takie rozszerzenia z zaszytym kodem. A jeszcze inna dziury o których piszesz JCE czy uploader plików.
    RSF był przykładem że warto coś mieć na pokładzie. (nie zmuszam nikogo, ale dobra praktyka mieć coś co loguje dziwne wywołania).

    Chyba to jest logiczne jeśli pobrałeś wszystko ze źródła nierekomendowanego to stopień zagrożenia rośnie wprost proporcjonalność do ilości używania takiego oprogramowania. Analogiczna sytuacja nie dotyczy tylko CMSów, ale wszystkich aplikacji. Co za problem wystawić spreparowane ISO WIN8.1PRO z zaszytym keylogerem nic a znajdą się ludzie co ściągną i będą instalować, cracki, keygeny.. itp.
    To samo się tyczy rozszerzeń do CMS.
    Oczywiście stosowanie własnych unikalnych rozwiązań w zabezpieczeniach zmniejsza ryzyko, ale go nie wyklucza!
    Sam CMS to tylko jeden czynnik składowy który może zawinić.
    ================================
    Administracja Joomla, Nowości, Artykuły Pomocne Administratorom, Usługi
    >>> https://joomlaguru.pl <<<
    Szkoła Joomla Guru (Kursy Online)
    >>> https://szkola.joomlaguru.pl <<<
    ================================

  11. #10
    Troll
    Gość

    Joomla! 3.3

    Co do RSF'a jestem jak najbardziej za - właśnie odbił mi ponad siedemdziesiąt tysięcy zapytań Rosji :-), wkurza mnie tylko fakt iż zdaje się autorzy nie konsultują pewnych mechanizmów z twórcami innych rozszerzeń - których można uznać za rzetelnych i wiarygodnych co powoduje przy niektórych zabezpieczeniach kolizję a wystarczyłoby wprowadzić wyjątki, nie piszę tutaj o informacji przy skanowaniu (choć tutaj też czasami jest śmiesznie przy analizie skryptów) tylko o zabezpieczeniach wpływających bezpośrednio na "ciekawe efekty" - czasami wygląda to jak błąd - a nim nie jest.
    Dobra - nie ma co - może po za informacją że w najnowszej wersji RSF'a z tego co widzę - zagrożenie będące tematem tego wątku zostało już wzięte pod uwagę. To fajnie że autorzy trzymają rękę na pulsie :-)
    Ostanio edytowane przez Troll : 23-11-2014 17:52

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Protostar - wypunktowanie listy popularnych artykułów
    przez tomekprt na forum Szablony, formatowanie wyglądu
    Odpowiedzi: 3
    Ostatni post/autor: 20-01-2014, 19:51
  2. sobipro wyświetlanie ukrytych pól po zalogowaniu.
    przez kacper-zam na forum Biznes: sklepy, ogłoszenia, katalogi produktów
    Odpowiedzi: 0
    Ostatni post/autor: 16-08-2012, 09:04
  3. przeszukiwanie ukrytych podstron
    przez slitmen na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 1
    Ostatni post/autor: 09-05-2012, 18:21
  4. 3 tys ukrytych linków
    przez bede83 na forum Bezpieczeństwo
    Odpowiedzi: 2
    Ostatni post/autor: 04-05-2010, 23:05
  5. Migawka w nowościach i popularnych? NIE!
    przez tomasz.007 na forum Administracja Joomla!
    Odpowiedzi: 3
    Ostatni post/autor: 09-09-2007, 12:36

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •